




已阅读5页,还剩24页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
系统测试案例分析,案例一性能测试/压力测试,.3,项目介绍,针对某公司办公自动化(OA)系统的负载压力测试,采用专业的负载压力测试工具来执行测试。系统采用B/S架构,服务器是一台PCServer(4路2.7GHz处理器,4GB内存),安装的平台软件包括MicrosoftInternetInformationServer5.0,ASP.NET,SQLServer2000。使用2台笔记本电脑安装测试工具模拟客户端执行“登录”业务操作。,.4,测试目标,1)试系统分别在2M、4M网络宽带下,能够支持用户登录的最大并发用户数;2)测试服务器的吞吐量(即:每秒可以处理的交易数),主要包括服务器CPU平均使用率达到85%时系统能够支持的最大吞吐量和服务器CPU平均使用率达到100%时系统能够支持的最大吞吐量。性能需求:指标“响应时间”合理范围为05秒。,.5,测试策略,1)设计出两种场景2M网络和4M网络环境下进行模拟测试。2)其中选定登录业务进行测试,加压策略采取逐步加压的方式。,.6,测试结果-2M网络,问题:1.在满足系统性能指标需求(响应时间0-5秒)时,系统所能承受的最大并发数?2.2M宽带环境下,CPU使用是否合理?宽带是否是系统瓶颈?,.7,测试结果-4M网络,问题:1.在满足系统性能指标需求(响应时间0-5秒)时,系统所能承受的最大并发数?2.4M宽带环境下,CPU使用是否合理?增加宽带是否是提高系统性能的有效方法?,.8,结果分析,.9,优化建议,案例二性能测试/压力测试(集群环境),.11,项目介绍,模拟多用户登录工作流系统,针对代表性工作流A/B/C连续创建20个实例。在单机和集群测试环境分别进行负载压力性能测试。单机环境下测试用机与一台应用服务器连接在同一交换机上,压力直接加在一台应用服务器上。集群环境下测试用机与服务器连接在同一台交换机上,压力由负载均衡模块分摊到两台应用服务器上,数据服务器不作集群处理。测试需求要点:1)随着负载的增加,采用集群方案是否对此应用系统有效2)服务器资源是否使用合理,.12,测试策略,1)单机测试环境2)集群测试环境,.13,测试结果,客户端性能测试结果,客户端性能提升:120并发用户:19倍以上240并发用户:3倍以上,.14,测试结果-单机环境的服务器端性能-A,CPU占用率递增50%,.15,测试结果-单机环境的服务器端性能-B/C,CPU占用率超85%,.16,测试结果-集群环境的服务器端性能-A,服务端资源占用情况绝对值变化不大,但CPU占用递增20%左右较为稳定,.17,问题,1)集群是否比单机环境效率高?2)单机与集群环境下,应用服务器与数据服务器资源利用率如何?是否存在瓶颈?单机环境与集群环境相比,哪种资源占用率较高,哪种资源占用率递增较快?3)此系统是否可以采用集群的方案?,案例三Web项目安全性测试,.19,安全性测试案例分析,WEB的安全性测试主要从以下方面考虑:1.SQLInjection(SQL注入)2.Cross-sitescritping(XSS):(跨站点脚本攻击)3.EmailHeaderInjection(邮件标头注入)4.DirectoryTraversal(目录遍历)5.exposederrormessages(错误信息),.20,1.SQL注入,1:对于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的FORM标签来辨别是否还有参数传递.在和的标签中间的每一个参数传递都有可能被利用.,2:当找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如HTTP:/DOMAIN/INDEX.ASP?ID=10,.21,1.SQL注入,例子:在登录时进行身份验证时,通常使用如下语句来进行验证:sql=select*fromuserwhereusername=usernameandpwd=password如输入http:/duck/index.asp?username=adminor1=1”,”,”-”,”%”,”0 x”,”=!-*/()|”,和”空格”).屏蔽出错信息:阻止攻击者知道攻击的结果在服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作.从测试人员的角度,在程序开发前(即需求阶段),我们就应该有意识的将安全性检查应用到需求测试中,例如对一个表单需求进行检查时,我们一般检验以下几项安全性问题:需求中应说明表单中某一FIELD的类型,长度,以及取值范围(主要作用就是禁止输入敏感字符)需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序应给出不包含任何代码或数据库信息的错误提示.,.23,2.跨站点脚本攻击,首先,找到带有参数传递的URL,如登录页面,搜索页面,提交评论,发表留言页面等等。其次,在页面参数中输入如下语句(如:Javascrpt,VBscrpt,HTML,ActiveX,Flash)来进行测试:alert(document.cookie)最后,当用户浏览时便会弹出一个警告框,内容显示的是浏览者当前的cookie串,这就说明该网站存在XSS漏洞。试想如果我们注入的不是以上这个简单的测试代码,而是一段经常精心设计的恶意脚本,当用户浏览此帖时,cookie信息就可能成功的被攻击者获取。此时浏览者的帐号就很容易被攻击者掌控了。,.24,2.跨站点脚本攻击如何预防?,从应用程序的角度:对Javascrpt,VBscrpt,HTML,ActiveX,Flash等语句或脚本进行转义.在服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作.从测试人员的角度:在需求检查过程中对各输入项或输出项进行类型、长度以及取值范围进行验证,着重验证是否对HTML或脚本代码进行了转义。执行测试过程中也应对上述项进行检查。,.25,3.邮件标头注入,如果表单用于发送email,表单中可能包括“subject”输入项(邮件标题),我们要验证subject中应能escape掉“n”标识。因为“n”是新行,如果在subject中输入“helloncc:spamvictim”,可能会形成以下Subject:hellocc:spamvictim如果允许用户使用这样的subject,那他可能会给利用这个缺陷通过我们的平台给其它用户发送垃圾邮件。,.26,4.目录遍历,如何进行目录遍历测试:目录遍历产生的原因是:程序中没有过滤用户输入的“./”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。测试方法:在URL中输入一定数量的“./”和“./”,验证系统是否ESCAPE掉了这些目录跳转符.如何预防目录遍历?限制Web应用在服务器上的运行进行严格的输入验证,控制用户输入非法路径,.27,5.错误信息,如何进行目录遍历测试:首先找到一些错误页面,比如404,或500页面。验证在调试未开通过的情况下,是否给出了
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 黑龙江省鸡西市名校2026届九上化学期中学业质量监测模拟试题含解析
- 低保特困政策解读
- 公司文员年终工作总结
- 工程师转正工作总结
- 2026届吉林省吉林市第十区四校联考九年级化学第一学期期中复习检测试题含解析
- 2026届安徽省宿州市埇桥集团学校九年级化学第一学期期中经典试题含解析
- 江苏省苏州市区2026届九上化学期中考试试题含解析
- 2025年山东省日照市东港区北京路中学八年级中考三模生物试题(含答案)
- 2026届贵州省贵阳市白云区化学九上期中综合测试模拟试题含解析
- 2026届安徽省砀山县化学九年级第一学期期中达标检测模拟试题含解析
- 电力系统分析基础教案-按课时
- 台达伺服asda-b2系列技术手册
- 云南省三校生语文课件
- 园艺产品的主要贮藏方法与原理课件
- 社会及其构成要素
- 环境风险评价(共84张)课件
- 函数极限说课
- 农业经济学ppt全套教学课件
- 果蔬贮藏保鲜概论:第五章 采收与采后商品化处理(第2节 分级 Sorting)
- 弱电桥架安装及电缆敷设施工方案(PPT)
- FQFNew8.0+供应商自审表格使用手册
评论
0/150
提交评论